云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的IT服务。云计算以其便利、经济、高可扩展性等优势吸引了越来越多的企业的目光,将其从IT基础设施管理与维护的沉重压力中解放出来,更专注于自身的核心业务发展。在IT产业界,云计算被普遍认为是继互联网经济繁荣以来的又一个重要IT产业增长点,具有巨大的市场增长前景。根据IDC 咨询公司的预测,未来5 年内,IT云服务上的支出将增长3 倍,到2012 年将达到420亿美元,占IT支出增长总量中的25%。此外,由于云计算的发展理念符合当前低碳经济与绿色计算的总体趋势,并极有可能发展成为未来网络空间的神经系统,它也为世界各国政府所大力倡导与推动。云计算代表了IT领域迅速向集约化、规模化与专业化道路发展的趋势,有人形象地将云计算比喻成为当前信息领域正在发生的工业化革命。
但当前,云计算发展面临许多关键性问题,而安全问题首当其冲。并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。Gartner2009 年的调查结果显示,70%以上受访企业的CTO 认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。而近来,Amazon,Google 等云计算发起者不断爆出各种安全事故更加剧了人们的担忧。例如,2009 年3 月,Google 发生大批用户文件外泄事件,2009 年2 月和7 月,亚马逊的“简单存储服务(simple storage service,简称S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等等。因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题。
目前,云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010 将云计算安全列为焦点问题,CCS 从2009 年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品。本文通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响,提出未来云计算安全技术框架及重要的科研方向,以期为我国未来云计算安全的科研、产业发展做出有益的探索。
1 云计算发展趋势
IT资源服务化是云计算最重要的外部特征。目前,Amazon,Google,IBM,Microsoft,Sun 等国际大型IT公司已纷纷建立并对外提供各种云计算服务。根据美国国家标准与技术研究院(NIST)的定义,当前云计算服务可分为3 个层次,分别是:
(1) 基础设施即服务(IaaS),如Amazon 的弹性计算云(elastic compute cloud,简称EC2)、IBM 的蓝云(blue cloud)以及Sun 的云基础设施平台(IAAS)等;
(2) 平台即服务(PaaS),如Google 的Google AppEngine与微软的Azure 平台等;
(3) 软件即服务(SaaS),如Salesforce 公司的客户关系管理服务等。
当前,各类云服务之间已开始呈现出整合趋势,越来越多的云应用服务商选择购买云基础设施服务而不是自己独立建设。例如:在云存储服务领域,成立于美国乔治亚州的Jungle Disk 公司基于Amazon S3 的云计算资源,通过友好的软件界面,为用户提供在线存储和备份服务;在数据库领域,Oracle 公司利用Amazon 的基础设施提供Oracle 数据库软件服务以及数据库备份服务;而FanthomDB 为用户提供基于MySQL 的在线关系数据库系统服务,允许用户选择底层使用EC2 或Rackspace 基础设施服务,等等。可以预见,随着云计算标准的出台,以及各国的法律、隐私政策与监管政策差异等问题的协调解决,类似的案例会越来越多。对比其他领域(如制造业领域)的全球化经验可知,云计算将推动IT领域的产业细分:云服务商通过购买服务的方式减少对非核心业务的投入,从而强化自己核心领域的竞争优势。最终,各种类型的云服务商之间形成强强联合、协作共生关系,推动信息技术领域加速实现全球化,并最终形成真正意义上的全球性的“云”。
未来云计算将形成一个以云基础设施为核心、涵盖云基础软件与平台服务与云应用服务等多个层次的巨型全球化IT服务化网络,如图1 所示。如果以人体作为比喻,那么处于核心层的云基础设施平台将是未来信息世界的神经中枢,其数量虽然有限但规模庞大,具有互联网级的强大分析处理能力;云基础软件与平台服务层提供基础性、通用性服务,例如,云操作系统、云数据管理、云搜索、云开发平台等,是这个巨人的骨骼与内脏;而外层云应用服务则包括与人们日常工作与生活相关的大量各类应用,例如,电子邮件服务、云地图服务、云电子商务服务、云文档服务等等,这些丰富的应用构成这个巨型网络的血肉发肤。各个层次的服务之间既彼此独立又相互依存,形成一个动态稳定结构。越靠近体系核心的服务,其在整个体系中的权重也就越大。因此,未来谁掌握了云计算的核心技术主动权以及核心云服务的控制权,谁就将在信息技术领域全球化竞争格局中处于优势地位。
图2 信息安全技术发展阶段图
云计算以动态的服务计算为主要技术特征,以灵活的“服务合约”为核心商业特征,是信息技术领域正在发生的重大变革。这种变革为信息安全领域带来了巨大的冲击:
(1) 在云平台中运行的各类云应用没有固定不变的基础设施,没有固定不变的安全边界,难以实现用户数据安全与隐私保护;
(2) 云服务所涉及的资源由多个管理者所有,存在利益冲突,无法统一规划部署安全防护措施;
(3) 云平台中数据与计算高度集中,安全措施必须满足海量信息处理需求。
由于当前信息安全领域仍缺乏针对此类问题的充分研究,尚难为安全的云服务提供必要的理论技术与产品支撑,因此,未来在信息安全学术界与产业界共同关注及推动下,信息安全领域将围绕云服务的“安全服务品质协议”的制定、交付验证、第三方检验等,逐渐发展形成一种新型的技术体系与管理体系与之相适应,标志着信息安全领域一个新的时代的到来。
从目前来看,实现云计算安全至少应解决关键技术、标准与法规建设以及国家监督管理制度等多个层次的挑战。下面分别予以简要阐述。
2.2 挑战1:建立以数据安全和隐私保护为主要目标的云安全技术框架
当前,云计算平台的各个层次,如主机系统层、网络层以及Web 应用层等都存在相应安全威胁,但这类通用安全问题在信息安全领域已得到较为充分的研究,并具有比较成熟的产品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多租户共享运营模式等对数据安全与隐私保护带来的挑战:
(1) 云计算服务计算模式所引发的安全问题。当用户或企业将所属的数据外包给云计算服务商,或者委托其运行所属的应用时,云计算服务商就获得了该数据或应用的优先访问权。事实证明,由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险,云服务商没有充足的证据让用户确信其数据被正确地使用。例如,用户数据没有被盗卖给其竞争对手、用户使用习惯隐私没有被记录或分析、用户数据被正确存储在其指定的国家或区域,且不需要的数据已被彻底删除等等;
(2) 云计算的动态虚拟化管理方式引发的安全问题。在典型的云计算服务平台中,资源以虚拟、租用的模式提供给用户,这些虚拟资源根据实际运行所需与物理资源相绑定。由于在云计算中是多租户共享资源,多个虚拟资源很可能会被绑定到相同的物理资源上。如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问。例如,2009 年5 月,网络上曾经曝光VMware 虚拟化软件的Mac 版本中存在一个严重的安全漏洞。别有用心的人可以利用该漏洞通过Windows 虚拟机在Mac 主机上执行恶意代码。因此,如果云计算平台无法实现用户数据与其他企业用户数据的有效隔离,用户不知道自己的邻居是谁、有何企图,那么云服务商就无法说服用户相信自己的数据是安全的;
(3) 云计算中多层服务模式引发的安全问题。前面已经提及,云计算发展的趋势之一是IT服务专业化,即云服务商在对外提供服务的同时,自身也需要购买其他云服务商所提供的服务。因而用户所享用的云服务间接涉及到多个服务提供商,多层转包无疑极大地提高了问题的复杂性,进一步增加了安全风险。
由于缺乏安全关键技术支持,当前的云平台服务商多数选择采用商业手段回避上述问题。但长远来看,用户数据安全与隐私保护需求属于云计算产业发展无法回避的核心问题。其实,上述问题并不缺乏技术基础,如数据外包与服务外包安全、可信计算环境、虚拟机安全、秘密同态计算等各项技术多年来一直为学术界所关注。关键在于实现上述技术在云计算环境下的实用化,形成支撑未来云计算安全的关键技术体系,并最终为云用户提供具有安全保障的云服务。 2.3 挑战2:建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系
建立安全指导标准及其测评技术体系是实现云计算安全的另一个重要支柱。云计算安全标准是度量云用户安全目标与云服务商安全服务能力的尺度,也是安全服务提供商构建安全服务的重要参考。基于标准的“安全服务品质协议”,可以依据科学的测评方法检测与评估,在出现安全事故时快速实现责任认定,避免产生责任推诿。建立云计算安全标准及其测评体系的挑战在于以下几点:
·首先,云计算安全标准应支持更广义的安全目标。云计算安全标准不仅应支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围和程度,更重要的是,应支持用户、尤其是企业用户的安全管理需求,如分析查看日志信息、搜集信息,了解数据使用情况以及展开违法操作调查等。而这些信息的搜集可能会牵涉到云计算服务商的数据中心或涉及到其他用户的数据,带来一定安全隐患。当前,云计算商业运作模式仍不十分成熟,用户与云计算服务商之间的责任与权限界定得并不清晰,用户与云计算服务商就管理范围与权限上可能存在冲突,因此,需要以标准形式将其确定下来,明确指出信息搜集的程度、范围、手段等,防止影响其他用户的权益。不仅如此,上述安全目标还应是可测量、可验证的,便于在相关规范中规定上述安全目标的标准化测量验证方法;
·其次,云计算安全标准应支持对灵活、复杂的云服务过程的安全评估。传统意义上对服务商能力的安全风险评估方式是,通过全面识别和分析系统架构下威胁和弱点及其对资产的潜在影响来确定其抵抗安全风险的能力和水平,但在云计算环境下,云服务提供商可能租用其他服务商提供的基础设施服务或购买多个服务商的软件服务,根据系统状况动态选用。因此,标准应针对云计算中动态性与多方参与的特点,提供相应的云服务安全能力的计算和评估方法。同时,标准应支持云服务的安全水平等级化,便于用户直观理解与选择;
·此外,云计算安全标准应规定云服务安全目标验证的方法和程序。由于用户自身缺乏举证能力,因此,验证的核心是服务商提供正确执行的证据,如可信审计记录等。云计算安全标准应明确定义证据提取方法以及证据交付方法。
2.4 挑战3:建立可控的云计算安全监管体系
科学技术是把双刃剑,云计算在为人们带来巨大好处的同时也带来巨大的破坏性能力。而网络空间又是继领土权、领空权、领海权、太空权之后的第五维国家主权,是任何主权国家必须自主掌控的重要资源。因此,应在发展云计算产业的同时大力发展云计算监控技术体系,牢牢掌握技术主动权,防止其被竞争对手控制与利用。与互联网监控管理体系相比,实现云计算监控管理必须解决以下几个问题:
(1) 实现基于云计算的安全攻击的快速识别、预警与防护。如果黑客攻入了云客户的主机,使其成为自己向云服务提供商发动DDoS 攻击的一颗棋子,那么按照云计算对计算资源根据实际使用付费的方式,这一受控客户将在并不知情的情况下为黑客发起的资源连线偿付巨额费用。不仅如此,与以往DDoS 攻击相比,基于云的攻击更容易组织,破坏性更大。而一旦攻击的对象是大型云服务提供商,势必影响大批用户,所造成的损失就更加难以估量。因此,需要及时识别与阻断这类攻击,防止重大的灾害性安全事件的发生;
(2) 实现云计算内容监控。云的高度动态性增加了网络内容监管的难度。首先,云计算所具有的动态性特征使得建立或关闭一个网站服务较之以往更加容易,成本代价更低。因此,各种含有黄色内容或反动内容的网站将很容易以打游击的模式在网络上迁移,使得追踪管理难度加大,对内容监管更加困难。如果允许其检查,必然涉及到其他用户的隐私问题;其次,云服务提供商往往具有国际性的特点,数据存储平台也常跨越国界,将网络数据存储到云上可能会超出本地政府的监管范围,或者同属多地区或多国的管辖范围,而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突,当出现安全问题时,难以给出公允的裁决;
(3) 识别并防止基于云计算的密码类犯罪活动。云计算的出现使得组织实施密码破译更加容易,原来只有资金雄厚的大型组织才能实施的密码破解任务,在云计算平台的支持下,普通用户也可以轻松实现,严重威胁了各类密码产品的安全。在云计算环境下,如何防止单个用户或者多个合谋用户购得足够规模的计算能力来破解安全算法,也是云计算安全监管中有待解决的问题之一。
3 云计算安全现状
3.1 各国政府对云计算安全的关注
云计算在美国和欧洲等国得到政府的大力支持和推广,云计算安全和风险问题也得到各国政府的广泛重视。2010 年11 月,美国政府CIO 委员会发布关于政府机构采用云计算的政府文件,阐述了云计算带来的挑战以及针对云计算的安全防护,要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析。同时指出,由政府授权机构对云计算服务商进行统一的风险评估和授权认定,可加速云计算的评估和采用,并能降低风险评估的费用。
2010 年3 月,参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议,以解决云计算的数据安全弱点。欧洲网络和信息安全局(ENISA)表示,将推动管理部门要求云计算提供商通知客户有关安全攻击状况。
日本政府也启动了官民合作项目,组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试,以提高日本使用云计算的安全水平,向中小企业普及云计算,并确保企业和个人数据的安全性。在我国,2010 年5 月,工信部副部长娄勤俭在第2 届中国云计算大会上表示,我国应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续地发展。
3.2 国内外云计算安全标准组织及其进展
国外已经有越来越多的标准组织开始着手制定云计算及安全标准,以求增强互操作性和安全性,减少重复投资或重新发明,如ITU-TSG17 研究组、结构化信息标准促进组织与分布式管理任务组等都启动了云计算标准工作。此外,专门成立的组织,如云计算安全联盟也在云计算安全标准化方面取得了一定进展。下面我们对这些标准组织及其目前的研究进展展开加以介绍。
3.2.1 云安全联盟
云安全联盟CSA(Cloud Security Alliance)是在2009 年的RSA 大会上宣布成立的一个非盈利性组织,宗旨是“促进云计算安全技术的最佳实践应用,并提供云计算的使用培训,帮助保护其他形式的计算”。自成立后,CSA迅速获得了业界的广泛认可,其企业成员涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。
云计算安全联盟确定了云计算安全的15 个焦点领域,对每个领域给出了具体建议,并从中选取较为重要的若干领域着手标准的制定,在制定过程中,广泛咨询IT人员的反馈意见,获取关于需求方案说明书的建议。云计算安全联盟确定的15 个云计算安全焦点领域分别是:信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构。
目前,云计算安全联盟已完成《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》等研究报告,并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案,对形成云计算安全行业规范具有重要影响。 3.2.2 其他相关标准组织动态
2009 年底,国际标准化组织/国际电工委员会、第一联合技术委员会(ISO/IEC,JTC1)正式通过成立分布应用平台服务分技术委员会(SC38)的决议,并明确规定SC38 下设云计算研究组。
国际电信联盟ITU-TSG17 研究组会议于2010 年5 月在瑞士的日内瓦召开,决定成立云计算专项工作组,旨在达成一个“全球性生态系统”,确保各个系统之间安全地交换信息。工作组将评估当前的各项标准,将来会推出新的标准。云计算安全是其中重要的研究课题,计划推出的标准包括《电信领域云计算安全指南》。
结构化信息标准促进组织(OASIS)将云计算看作是SOA 和网络管理模型的自然扩展。在标准化工作方面,OASIS 致力于在现有标准的基础上建立云计算模型、配置文件和扩展相关的标准。现有标准包括安全、访问和身份策略标准,如OASIS SAML,XACML,SPML,WSSecurityPolicy 等;内容、格式控制和数据导入/导出标准,如OASIS ODF,DITA,CMIS 等;注册、储存和目录标准,如OASIS ebXML,UDDI;以及SOA 方法和模型、网络管理、服务质量和互操作性标准,如OASIS SCA,SDO,SOA-RM 和BPEL 等。
近期,分布式管理任务组(Distributed Management Task Force,简称DMTF)也已启动了云标准孵化器过程。参与成员将关注通过开发云资源管理协议、数据包格式以及安全机制来促进云计算平台间标准化的交互,致力于开发一个云资源管理的信息规范集合。该组织的核心任务是扩展开放虚拟化格式(OVF)标准,使云计算环境中工作负载的部署及管理更为便捷。
3.3 国内外云计算安全技术现状
在IT产业界,各类云计算安全产品与方案不断涌现。例如,Sun 公司发布开源的云计算安全工具可为Amazon 的EC2,S3 以及虚拟私有云平台提供安全保护。工具包括OpenSolaris VPC 网关软件,能够帮助客户迅速和容易地创建一个通向Amazon 虚拟私有云的多条安全的通信通道;为Amazon EC2 设计的安全增强的VMIs,包括非可执行堆栈,加密交换和默认情况下启用审核等;云安全盒(cloud safety box),使用类Amazon S3 接口,自动地对内容进行压缩、加密和拆分,简化云中加密内容的管理等。微软为云计算平台Azure 筹备代号为Sydney的安全计划,帮助企业用户在服务器和Azure 云之间交换数据,以解决虚拟化、多租户环境中的安全性。EMC,Intel, Vmware 等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统。该项目采用Intel 的可信执行技术(trusted execution technology)、Vmware 的虚拟隔离技术、RSA 的enVision 安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群。开源云计算平台Hadoop 也推出安全版本,引入kerberos 安全认证技术,对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoop clusters 的非授权访问。